Pontos de aplicação de filtro de firewall sem estado

Depois de definir o filtro de firewall,você deve aplicá-lo a um ponto de aplicação. Esses pontos de aplicação incluem interfaces lógicas, interfaces físicas, interfaces de roteamento e instâncias de roteamento.

Na maioria dos casos, você pode aplicar um filtro de firewall como um filtro de entrada ou um filtro de saída, ou ambos ao mesmo tempo. Os filtros de entrada são a ação nos pacotes recebidos na interface especificada, enquanto os filtros de saída fazem ação nos pacotes que são transmitidas pela interface especificada.

Normalmente, você aplica um filtro com vários termos a uma única interface lógica,ao tráfego de entrada, ao tráfego de saída ou a ambos. No entanto, há momentos em que você pode querer encadear vários filtros de firewall (com um ou vários termos) e aplicá-los a uma interface. Você usa uma lista de entradas para aplicar vários filtros de firewall ao tráfego de entrada em uma interface. Você usa uma lista de saída para aplicar vários filtros de firewall ao tráfego de saída em uma interface. Você pode incluir até 16 filtros em uma lista de entradas ou uma lista de saída.

Não existe limite para o número de filtros e contadores que você pode definir, mas existem algumas considerações práticas. Mais contadores exigem mais termos, e um grande número de termos pode levar muito tempo para processar durante uma operação de commit. No entanto, filtros com mais de 4.000 termos e contadores foram implementados com sucesso.

Tabela 1 descreve cada ponto ao qual você pode aplicar um filtro de firewall. Para cada ponto de aplicação, a tabela descreve os tipos de filtros de firewall suportados naquele ponto, o nível de hierarquia do roteador (ou switch) no qual o filtro pode ser aplicado e quaisquer limitações específicas da plataforma.

Tabela 1: Resumo de configuração de filtro de firewall sem estado e aplicativo
Tipo de filtro	Ponto de aplicação	Restrições
filtro de firewall sem estado Configure incluindo a declaração `filter filter-name` o nível `[edit firewall]` da hierarquia: filter `filter-name`; Nota: Caso você não inclua a instrução, o filtro de firewall processa o `family` tráfego IPv4 por padrão.	Interface lógica Aplique-se no `[edit interfaces interface-name unit unit-number family inet]` nível da hierarquia incluindo as ou `input filter-nameoutput filter-name` declarações: filter { input `filter-name`; output `filter-name`; } Nota: Um filtro configurado com a família de protocolos implícitos não pode ser incluído em uma lista de filtros `inet` de entrada ou em uma lista de filtros de saída. Nota: No T4000 Type 5 FPCs, um filtro conectado ao ponto de aplicação de Camada 2 (ou seja, no nível da interface lógica) não consegue combinar com a classe de encaminhamento de um pacote definida por um classificador de Camada 3, como DSCP, DSCP V6 `inet-precedence` e `mpls-exp` .	Suporte nos seguintes roteadores: Série T roteadores M320 roteadores M7i roteadores com o CFEB aprimorado (CFEB-e) M10i roteadores com o CFEB-e aprimorado Também tenho suporte para os seguintes MPCs (Modular Port Concentrators) em roteadores da série MX: Ethernet MPC de 10 Gigabits MPC de 60 Gigabits MPC de enluvamento aprimorado de Ethernet de 60 Gigabits Ethernet MPC de 100 Gigabits Também é suportado em switches da Série EX
filtro de firewall sem estado Configure no nível `[edit firewall family family-name]` da hierarquia incluindo a seguinte instrução: filter `filter-name`; As famílias de protocolo podem `family-name` ser: `any` `bridge` ethernet-switching ccc `inet` `inet6` `mpls` `vpls`	Família de protocolo em uma interface lógica Aplique-se `[edit interfaces interface-name unit unit-number family family-name]` no nível da hierarquia por, incluindo `inputinput-list` as, ou `outputoutput-list` declarações: filter { input `filter-name`; input-list [ `filter-names` ]; output `filter-name`; output-list [ `filter-names` ]; }	A família de `bridge` protocolos é suportada apenas em roteadores da série MX.
filtro de firewall sem estado	Mecanismo de Roteamento de loopback
Filtro de serviço Configure no nível `[edit firewall family (inet \| inet6)]` da hierarquia incluindo a seguinte instrução: service-filter `service-filter-name`;	Família `inet` ou em uma interface `inet6` lógica Aplique no nível da hierarquia usando a instrução para aplicar um filtro de serviço como um filtro de entrada ou `[edit interfaces interface-name unit unit-number family (inet \| inet6)]` saída a um conjunto de `service-set` serviços: service { input { service-set `service-set-name` service-filter `filter-name;` } output { service-set `service-set-name` service-filter `filter-name;` } } Configure um conjunto de serviços no nível `[edit services]` da hierarquia incluindo a seguinte instrução: `service-set service-set-name`;	Suportado apenas em PICs adaptáveis (AS) e multisserviços (MS).
Filtro de pós-serviço Configure no nível `[edit firewall family (inet \| inet6)]` da hierarquia incluindo a seguinte instrução: service-filter `service-filter-name`;	Família `inet` ou em uma interface `inet6` lógica Aplique no nível da hierarquia, incluindo a instrução para aplicar um filtro de `[edit interfaces interface-name unit unit-number family (inet \| inet6)]` serviço como um filtro de `post-service-filter` entrada: service { input { post-service-filter `filter-name`; } }	Um filtro pós-serviço é aplicado ao tráfego que retorna à interface de serviços após o processamento do serviço. O filtro só é aplicado se um conjunto de serviços estiver configurado e selecionado.
Filtro simples Configure no nível `[edit firewall family inet]` da hierarquia incluindo a seguinte instrução: simple-filter `filter-name`	Família `inet` em uma interface lógica Aplique-se ao `[edit interfaces interface-name unit unit-number family inet]` nível da hierarquia incluindo a seguinte instrução: simple-filter `simple-filter-name`;	Filtros simples só podem ser aplicados como filtros de entrada. Suporte apenas para as seguintes plataformas: PICs inteligentes de Gigabit Ethernet (IQ2) nos M120, M320 e Série T roteadores. Concentradores de porta densa de enqueceramento aprimorados (EQ DPC) em roteadores da Série MX (e switches da Série EX).
Filtro de verificação de encaminhamento reversa de pacotes (RPF) Configurada no nível `[edit firewall family (inet \| inet6)]` da hierarquia incluindo a seguinte instrução: filter `filter-name`;	Família `inet` ou em uma interface `inet6` lógica Aplique-se ao `[edit interfaces interface-name unit unit-number family (inet \| inet6)]` nível da hierarquia incluindo a seguinte instrução: rpf-check fail-filter `filter-name` para aplicar o filtro de firewall sem estado como um filtro de verificação RPF. rpf-check { fail-filter `filter-name`; mode loose; }	Suportado apenas em roteadores da Série MX e switches da Série EX.